原创 AVL威胁情报团队 2025-10-30 10:00 四川
移动端主要恶意软件类型呈活跃下降趋势
点击蓝字
🕵️ **移动端恶意软件整体活跃度下降,但需警惕特定家族和类型。** 本月监测数据显示,资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播等八大类移动端恶意软件均呈现下降趋势,环比下降均值为18.53%。然而,QHooPlayer.c变种凭借“隐藏图标”功能提升了驻留隐蔽性,排名逆势上升,成为需要重点关注的高风险威胁。同时,UjcsSpy.b家族已连续两个月维持威胁榜单首位,显示其传播渠道有效且规避检测能力强。
🏦 **手机银行木马FakeBank.av仿冒国内知名银行,风险不容忽视。** 在活跃手机银行木马家族中,Trojan/Android.FakeBank.av以73.03%的份额占据主导地位,该家族常伪装成银行相关应用,可能导致用户财产损失。此外,Trojan/Android.nbank.g伪装正常应用,窃取用户隐私信息并进行高危行为;Trojan/Android.GBanker.gx(Coper家族)和Trojan/Android.GBanker.in则通过拦截短信、键盘记录、虚假界面等方式窃取用户资金。
spyware **间谍木马UjcsSpy.b与ORCASpy.b构成主要威胁,严重侵犯用户隐私。** UjcsSpy.b以65.06%的比例位居间谍木马活跃榜首,通过无障碍服务模拟点击、窃取通讯录、短信、通话记录、截屏、录音录像等,造成严重隐私泄露。ORCASpy.b(32.07%)同样伪装正常应用,诱导用户启用无障碍服务,通过屏幕共享、开启摄像头、录音录像等方式获取隐私信息,并通过虚假密码输入界面窃取支付和锁屏密码。
📉 **国内受害区域感染终端量普遍下降,河北、山东、四川降幅居前。** 本月国内各省感染终端量平均降幅达到18.25%,其中河北、山东和四川的降幅最为显著,分别为-24.88%、-20.72%和-19.31%。这表明整体上移动端安全态势有所改善,但仍需保持警惕。
原创 AVL威胁情报团队 2025-10-30 10:00 四川
移动端主要恶意软件类型呈活跃下降趋势
点击蓝字安天Avl威胁情报中心每月会对移动端活跃的恶意软件进行跟踪,移动端恶意软件主要分为8大类:资费消耗、流氓行为、隐私窃取、系统破坏、诱骗欺诈、恶意扣费、远程控制、恶意传播。
月度移动端常见恶意软件类型活跃趋势对比如下图:
监测数据显示,本月八大类恶意软件均呈现下降趋势,环比下降均值为18.53%,其中降幅前三为:“远程控制”-30.44%、“系统破坏”-27.00%和“隐私窃取”-24.18%。
本月移动端活跃恶意木马家族TOP10如下图:
本月恶意软件家族活动态势呈现结构性变化,具体表现如下:
QHooPlayer家族活跃度分化,整体活跃度呈下降趋势。其中,QHooPlayer.a 变种威胁排名下降4位;QHooPlayer.b 变种则跌出威胁榜单前十。然而,QHooPlayer.c 变种因其新增的“隐藏图标”功能显著提升了驻留隐蔽性,威胁排名逆势上升一位,持续构成高风险,需重点关注其横向渗透趋势。
ORCASpy与UjcsSpy家族持续高位威胁,ORCASpy.b 本月威胁排名上升3位,活动频繁。而UjcsSpy.b 已连续两个月维持威胁榜单首位,表明其传播渠道有效且自身规避检测能力较强,是目前需要重点关注的顶级威胁。
TOP10家族情况如下:
Trojan/Android.UjcsSpy.b(26.24%)样本运行后从网络获取指令并执行窃取通讯录、短信记录、通话记录、截取设备屏幕、录制音视频等等功能,通过无障碍服务进行模拟点击、窃取其他应用界面信息,造成用户隐私泄露。
Trojan/Android.QHooPlayer.c(23.37%)该程序安装无图标,允许申请无障碍服务,监听通知栏消息,远控执行唤醒屏幕、截图等操作,存在造成用户隐私泄露、财产损失的风险。
Trojan/Android.ORCASpy.b(12.94%)伪装成正常应用,运行后诱导用户启用无障碍辅助服务,启用后自动获取相关系统权限。接收远程服务器控制指令,开启远程屏幕共享,获取用户联系人、 短信、设备参数、照片等隐私信息,执行开启摄像头、录音、录像等操作,通过虚假密码输入界面窃取用户输入的支付密码以及锁屏密码。
Trojan/Android.WXALpass.d(10.44%)该样本伪装成色情相关应用,运行后释放恶意子包,执行窃取手机设备信息、短信、密码等功能,会造成用户隐私泄露、财产损失。
Trojan/Android.Dropper.j(7.16%)该程序运行后会释放子包,警惕该软件私自下载安装软件,造成用户流量等资费消耗。
Trojan/Android.QHooPlayer.a(6.05%)伪装成色情应用(如“xx视频”),运行下载子包,子包会申请无障碍服务,拦截短信等隐私信息,远控执行唤醒屏幕、截图等操作。
Trojan/Android.Dropper.fo(5.20%)该家族活跃恶意应用多为色情应用,木马主要功能为下载和传播恶意子包,通过恶意子包进行恶意活动,从而给用户造成资费消耗。
Trojan/Android.MTscam.a(3.31%)伪装成会议、客服等应用,请求开启无障碍服务,远程通过屏幕共享、模拟点击实现对用户设备的操作控制,可能会盗刷用户金融账户等,存在造成用户财产损失、隐私泄露的严重风险。
Trojan/Android.Nakedchat.hn(3.09%)该程序伪装成正常应用,运行窃取通讯录,并上传到指定网址,造成用户隐私泄露。
Trojan/Android.anleipay.e(2.21%)该家族多伪装成色情应用,运行后会有诱惑性内容诱导用户付费,应用内显示支付金额与实际支付金额不同,造成用户的财产损失。
Trojan/Android.FakeBank.av(73.03%)该家族多伪装成银行相关应用,非官方应用,可能会导致用户财产受到损失。
Trojan/Android.nbank.g(22.35%)伪装正常应用,运行隐藏图标,请求激活设备管理器,上传用户手机固件、联系人、短信、彩信、通话录音、程序安装列表等隐私信息,还会判断是否存在指定银行app上传包名,同时存在私发短信、修改手机设置、拨打电话、设置置顶虚假界面等高危行为,造成用户隐私泄露和资费损耗。
Trojan/Android.GBanker.gx(2.12%)又名Coper家族,多伪装成Google Play 商店、Chrome浏览器,一旦安装就会释放 Coper 恶意软件,拦截和发送 SMS 文本消息,使 USSD(非结构化补充服务数据)请求发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击和防止卸载。攻击者通过 C2 服务器远程控制并访问受感染设备,使其执行下发的命令,利用获取到的信息窃取受害者钱财。
Trojan/Android.GBanker.in(1.35%)该程序为一个恶意子包,运行后改变程序图标,启动用户设备安装的钱包应用,自动点击操作,同时获取用户短信、通讯录等隐私内容,导致用户隐私泄露。
Trojan/Android.FakeBank.n(1.16%) 伪装浦发银行界面,诱骗用户输入手机号码,银行卡查询密码及取款密码,监听用户信箱变化,并上传服务器,造成用户隐私泄漏。
END
「往期推荐」
点击阅读原文,下载MVS漏洞检测工具!
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑